1.3.1. Мотивация
1.3.1. Мотивация
Российская и мировая практика регулирования информационной безопасности (ИБ) недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформляемых в виде руководящих документов РД. Поэтому для топ-менеджмента и владельцев организаций существовала только одна проблема соответствия им (комплаенс) и только один способ ее решения — как с минимальными затратами выполнить предлагаемые требования. Для уполномоченных органов существовала своя проблема — как в силу невозможности охвата всех возможных видов деятельности и условий их реализации, а также существенных различий в целях деятельности предложить универсальный набор требований. Для этого проблема ИБ рассматривалась как самодостаточная сущность, инвариантная к деятельности, целям, условиям, а также существенно обуживалась в содержательности в угоду универсальности.
Оба подхода (организаций и регуляторов) неадекватны существующей реальности и представляют ее в существенно искаженном виде. Так, основные содержательные ограничения на деятельность по обеспечению ИБ связаны с традиционной моделью ИБ, предполагающей обязательное наличие злоумышленника, стремящегося нанести ущерб активам (информации), и, соответственно, ориентированной на защиту информации от действий такого субъекта (группы субъектов). При этом инциденты, связанные, например, со штатными изменениями прикладного софта, не могут быть отнесены к злоумышленнику. Их возможные причины — слабо развитый менеджмент и слабая технологическая база. Собственная неадекватность организации (менеджмента, процессов основной деятельности) сложившимся условиям вообще представляет собой очень мощный источник проблем, который игнорируется в силу невозможности его привязки к злоумышленнику.
Дальнейшая эволюция моделей ИБ была связана с усилением роли собственника (владельца) и сводилась к тому, что он сам выбирал (на свой страх и риск) из предложенного ему стандартного набора защитных мер те, которые ему необходимы, т. е. такие, которые, по его мнению, могут обеспечить приемлемый уровень безопасности. Это был существенный шаг вперед, так как он обеспечивал привязку ИБ к конкретному объекту с конкретными условиями его существования, частично разрешая противоречия, связанные с самодостаточностью проблемы ИБ. Однако конструктивного механизма для владельца предложить не удалось, кроме как создания каталога объектов с выбранными типовыми защитными мерами (профилей защиты). Сами профили создавались при этом экспертно-эвристическим методом. При этом какой все-таки риск принимал на себя владелец, оставалось неизвестным и определялось на практике.
Дальнейшая эволюция свелась к тезису о том, что ИБ может создавать (порождать) ущербы для целей деятельности и поэтому риски ИБ (которая оставалась самодостаточной) должны быть согласованы (увязаны) с рисками организации. Оставалось только указать, как их увязывать, и интегрировать систему менеджмента ИБ (СМИБ) в общекорпоративный менеджмент не как изолированную и независимую систему процессов, а как неотъемлемую, сильно связанную составную часть менеджмента. Этого не удалось сделать. Однако этот подход хорошо продвинул ряд оценочных категорий ИБ, включая риски ИБ.
Известны также прагматичные модели ИБ, основанные на оценке совокупной стоимости владения (применительно к ИБ) и «возврате» инвестиций в ИБ. В рамках этого подхода группа близких по целям и условиям деятельности организаций периодически производит оценку по направлениям реализации ИБ и формирует модель, состоящую из лучших практик по группе. Далее каждая из организаций в соответствии со своими отставаниями от лучших практик и своих условий (произошедших инцидентов) определяет направление и объем инвестиций. Эффективность инвестиций оценивается в следующем периоде по снижению ущербов от инцидентов, оказавшихся в области произведенных инвестиций и не повлекших поэтому больших ущербов.
Однако этот подход при многих своих достоинствах требует широкого обмена чувствительной информацией, а конфликт интересов участников обмена исключает создание сколько-нибудь качественных мер доверия, поэтому он не имеет широкого распространения.
Модель ИБ, предложенная в стандарте ЦБ РФ, еще более продвинула проблему как в части ее интеграции (связала с целями деятельности), так и в части расширения толкования сущности «злоумышленник». Под злоумышленником понимается лицо, способное вести противоборство с собственником и имеющее свою цель, которую он реализует, достигая контроля над активами организации.
Такой подход существенно расширяет виды и источники ущербов организации, попадающих в область рассмотрения ИБ, где их решение наиболее рационально. Он, однако, был во многом компромиссным подходом и настоятельно требует дальнейшего приближения проблем ИБ к конечному результату деятельности (производимому продукту). Нужна модель, которая реально помогает бизнесу, напрямую способствует его результативности и необходимому улучшению посредством создания и поддержания безопасной и доверенной информационной сферы, в том числе через борьбу со злоумышленником. Только такая модель может восприниматься бизнесом. Любая другая будет им отторгаться.
Более 800 000 книг и аудиокниг! 📚
Получи 2 месяца Литрес Подписки в подарок и наслаждайся неограниченным чтением
ПОЛУЧИТЬ ПОДАРОКДанный текст является ознакомительным фрагментом.
Читайте также
Мотивация
Мотивация Начинать работать на себя на самом деле довольно сложно в плане мотивации. Понятно, что отработав полный день или смену хочется отдохнуть. А тут надо писать какие-то объявления, общаться с заказчиками, опять работать, в конце концов. Причем если при обычном
Мотивация
Мотивация Данный подпроцесс включает в себя четыре основных этапа:• формирование и использование компенсационного пакета на основании условий работы и условий рынка труда;• формирование и использование неденежных источников мотивации (кадровый резерв, доска почета,
1.3.1. Мотивация
1.3.1. Мотивация Российская и мировая практика регулирования информационной безопасности (ИБ) недавнего прошлого состояла из обязательных требований национальных уполномоченных органов, оформляемых в виде руководящих документов РД. Поэтому для топ-менеджмента и
12.3. Мотивация коллег
12.3. Мотивация коллег Равный к равным по положению и должности Проявите свое желание помочь коллегам в их начинаниях. Убеждение – лучшая форма мотивации, когда обращается равный к равным. Уделяйте время тому, чтобы выслушать коллег и узнать об их проблемах и желаниях. Не
14.2. Мотивация в России
14.2. Мотивация в России Для российского работника характерны две основные черты, которые и определяю его отношение к стимулам в труде, – это нерациональность (аттрактивность) и отсутствие индивидуализма (коллективизм). Аттрактивность – это способность мыслить
Мотивация
Мотивация Экономисты убеждены, что предпринимателем движет стремление получить прибыль. Мой опыт и размышления говорят о другом. Многие -E-, с которыми мне пришлось общаться, даже не представляют, сколько денег они имеют, – они просто потеряли им счет. Нельзя без конца
МОТИВАЦИЯ
МОТИВАЦИЯ В исследовании М. Тампое (1993), которое цитируют Х. Скарбороу и Картер (2000), было выявлено четыре ключевых стимула для квалифицированных работников:1. Личностный рост – возможность работников полностью реализовать свой потенциал.2. Профессиональная независимость
ГЛАВА 18 МОТИВАЦИЯ
ГЛАВА 18 МОТИВАЦИЯ Все организации озабочены вопросом, что следует делать для того, чтобы получить устойчивый высокий уровень показателей работы своих сотрудников. Это означает, что необходимо уделять пристальное внимание тому, как можно мотивировать индивидуума при
Мотивация
Мотивация Параметр «мотивация» помогает решить, что именно вы (команда) хочет сделать (в контексте книги это – достичь цели): «Я (мы) хотим сделать это». То, насколько сильно будет ваше или общее желание, зависит от нескольких факторов:• соотнесение себя (команды) с
Мотивация работы
Мотивация работы Работа удовлетворяет базовые потребности человека, обеспечивая ему заработок, чтобы он мог кормить, поить и одевать свою семью и платить за жилище. Отчасти эти нужды удовлетворяет корпоративная столовая, а в прошлом на многих предприятиях рабочим
Мотивация
Мотивация Теперь вы узнали, насколько сильно геймеры отличаются в некоторых вещах от привычных нам профессионалов, и это может вас взволновать. Судите сами, как управлять людьми, – и, прежде всего, как заинтересовать их, если у них совсем другие жизненные ценности?
Мотивация
Мотивация Триггер – это сигнал к совершению действия, а мотивация определяет силу желания его совершить. Эдвард Диси, профессор психологии Рочестерского университета и ведущий разработчик теории самоопределения, характеризует мотивацию как «энергию для действия»{56}.И
Мотивация
Мотивация На протяжении многих лет значение термина «мотивация» постоянно менялось, и в литературе одно его объяснение часто противоречило другому, хотя в последнее время обозначился некоторый единый подход к его трактовке. Под мотивацией мы будем рассматривать
Мотивация
Мотивация Люди являются сложными, динамичными существами, поддающимися внушению, изменчивыми, не всегда рациональными и часто действующими под влиянием эмоций и привычек. Мотивация каждого человека является индивидуальной; однако все мы ощущаем на себе давление тех
Мотивация
Мотивация Зачем мне быть душою общества,Когда души в нем вовсе
Мотивация
Мотивация Само наличие дополнительных кастов уже мотивирует людей послушать что-то до тренинга. Так вы проявляете заботу о клиентах, которые заплатили вам за вебинары. Мотивировать можно, давая выполнять какие-то задания. Хорошо мотивирует блок «Обратный отсчет» с